作者|林冠廷
實習編輯|王彥涵

當大家都在迎接新年第一天時,iPhone 也沒忘記準備「新年禮物」,有 iOS 4 版本的用戶表示元旦這天鬧鐘居然沒響?據調查顯示,成千上萬的使用者因此遭受到波及。這次事故也不是蘋果首次出問題,根據《紐約時報》報導,早在先前就發生過多起事件。

在軟體開發過程中,若功能運作錯誤,我們稱之為「臭蟲」(Bug)。這個臭蟲可能是不會影響用戶體驗的芝麻小事,也可能是造成人身安全的重大風險。雖然在軟體發行之前,公司內部都有一套測試及修復錯誤的一套機制,但一般用戶不會知道:還有哪些重大漏洞沒被發現?是否會害使用者落入陷阱,產生資安危機?

圖片來源:Richard Patterson on Flickr

缺乏明確保護機制,商業軟體臭蟲風險多

軟體是由原始碼 (Source Code) 構成,一般可將軟體分為自由軟體 (free software) 和專有軟體 (proprietary software),前者的原始碼通常公諸於世,開放給他人自由研究、改良重製和發佈等;後者則反之。商業軟體由於沒有開放原始碼,普通使用者沒有權限深入研究軟體運作機制,導致臭蟲往往藏在軟體深處,難以發現。2014 年,BBC 引用 IBM 的研究報告,踢爆微軟 Windows 長達 19 年未修的臭蟲。IBM 研究員 Robert Freeman 表示,這個漏洞甚至可讓駭客遠端控制使用者的電腦。

Google 的研究者在今年 10 月也發現了一個系統漏洞,苦主仍然是微軟 Windows。據 TechCrunch 報導,Google 指出該漏洞會害使用者被植入惡意軟體,並「持續地被駭客利用」。他們給微軟一週時間抓蟲補洞,微軟卻做不到,Google 因此決定將漏洞細節公開。面對這麼危險的狀態,微軟卻輕描淡寫地回應「開發安全性的更新,必須在即時性與品質之間取得平衡」。

然而,若發現漏洞的人懷有惡意,鄉黨可能利用臭蟲從事非法行為。即使有精通 Windows 的外部開發者願意無償幫微軟作高品質的安全更新,或協助修復軟體,商業軟體的封閉特性也不允許公司以外的人獲取、研究與修改原始碼,讓這種藏在系統深處的「滅蟲」任務更難以達成。

四個自由,保障使用者資訊安全的權利

除了 Windows、Office 等商業軟體之外,Firefox、Linux、LibreOffice 等知名軟體則是開放原始碼的自由軟體。與商業軟體不同,自由軟體定義有「四個自由」:使用軟體、研究與修改原始碼、散布軟體,以及公開軟體修改版本的自由。

這四個自由,讓軟體每個細節攤在陽光下,同時保障開發者與使用者雙方。對開發者而言,軟體若出問題,大量的使用者都可以回報,甚至協助修改軟體錯誤;即使有些使用者不懂得軟體開發,也可以受益於這套快速的臭蟲處理機制,隨時享受最安全的自由軟體。

科技與社會學者洪朝貴撰文表示:「當自由軟體用戶遇到不合理的統治規則,如果有夠多人在乎,就可以一起改變。」洪朝貴也進一步強調,在數位化政府的時代,軟體原始碼是掌控政府機關是否可以正常運作的關鍵,臺灣人「應該從政治觀點去看自由軟體,看到『透明化』與『可修改』的重要意義。」

科技巨頭集結,幫助自由軟體更加安全

目前主流的自由軟體安全性已經極高,並廣泛獲得商業公司使用與維護,但資訊安全永遠還有進步空間。今年 8 月 3 日,「開放原始碼安全基金會」(Open Source Security Foundation,簡稱 OpenSSF) 正式宣告成立。該基金會在成立的新聞稿中提到:「OpenSSF 致力與上游和現存的社群協作與合作,以提升所有的開放原始碼安全性。」所謂社群,是指由開源專案的開發者、維護者與推廣者共同組成的群體。

根據官網,OpenSSF 最初的任務包含漏洞揭露、安全工具、識別開放原始碼計畫中的安全威脅、安全實踐、保護重要專案等,由於矽谷公司早就成為自由軟體的重要使用者,目前除了 Linux 基金會、臉書、IBM、微軟、Google 等科技巨頭是成員外,甚至連華為、騰訊也都是 OpenSSF 的會員。

透過眾人的力量,可以匯集大量投資,幫助自由軟體更加安全,但背景複雜的商業公司加入 OpenSSF 也帶來了疑慮。這些科技巨頭公司的加入成為會員,對於自由軟體開發各有優劣,不過 OpenSSF 的會員無法左右開源專案的決策,就算未來專案有變調,基於自由軟體開放原始碼、去中心化的特性,任何社群成員只要感到不妥,隨時都能把軟體原始碼帶走,並另起爐灶。



  • 本文章授權條款採 創用 CC BY (姓名標示) 4.0
  • 本文章同步刊載於《INSIDE》雜誌網站,標題和前言與《INSIDE》刊出版本略有不同。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.